疫情防控下的個人信息收集與隱私保護，一個不得不重視的兩難話題_風聞

儘管出於意識形態和國家自尊的原因，西方國家不願意承認在抗擊新冠疫情方面中國所取得的巨大成功，但我們自己不可以過於自謙，中國就是抗疫最成功的國家之一。

中國政府超強的組織動員能力與行動能力，民眾對政府權威的遵從與積極配合，是中國抗擊疫情取得階段性成功的關鍵。

不可忽視的是，中國科技抗疫的貢獻不可小覷，其在抗疫中對感染者、疑似感染者與密切接觸者的追蹤、定位、隔離措施功不可沒。

目前，中國在抗疫中對個人信息的收集方式主要有四種：一種是通過手機定位個人出行軌跡，從而判定感染者或受感染者範圍，為治療和隔離提供決策依據；第二種是醫院治療感染患者儲存的數據；第三種是核酸檢測與抗體檢測機構儲存的感染者數據；第四種是健康碼推行實施過程中收集儲存的感染者數據。

不管是何種方式收集的個人疫情數據，都涉及到公民的個人隱私。

在個人隱私權的保護上，東西方表現出兩種截然不同的態度。西方將個人隱私看得比個人生命還重要；而在東方中國，為了公共利益，為了生命健康，犧牲個人隱私似乎並無大礙。

但這個世界就怕走極端。西方張揚的個性自由與極端重視個人隱私，導致的災難後果就是抗疫的失敗、疫情的泛濫；東方中國如果沒有防範的任由某些APP收集個人信息，或者醫療機構與技術公司無節操的收集、獲取個人隱私，甚至泄露公民個人健康信息，那也是打着防疫之名行着人性之惡。

雲南文山在抗擊疫情期間爆出有5名醫務人員利用工作便利，偷拍、散佈新冠病毒患者的病程信息，具體包含姓名、家庭詳細住址、工作單位、行程軌跡、接觸人員、診療信息等信息，並通過微信轉發，事後被公安機關予以行政處罰。

目前，各省市健康碼使用過程中可能存在對個人數據的過度採集和超目的使用。正如有的專家指出的那樣——

健康碼施行中的突出問題是，一些地方的健康碼信息不再只是個人的健康狀況和行動軌跡，還包括既往病歷、運動軌跡、作息時間、生活習慣等與疫情防控並無直接關聯的個人隱私，健康碼甚至化身對個人健康進行全面評價，進而對個人活動進行全面管控的萬能碼。

由於科技的發達，尤其是近年來大數據、人工智能的興起，傳統的個人隱私權正在被更為寬闊和更為通用的信息權（或數據權）所覆蓋。

信息權包括兩個不可分割的方面。一個是政府或政府授權的機構，為了國家社會與公共利益，有權收集、製作和掌握個人信息，包括隱私信息；另一個是公民信息自決權，即公民可自我決定在何時以及在何種範圍內對外公開個人生活事實，未經個人同意，任何單位、機構不得擅自公佈、泄露個人信息。

嚴格説來，隱私權與信息權有着不小的區別。隱私權主要更加看重保護個人私生活安寧和私生活秘密，信息權則不僅保護消極意義上的個人獨處和生活秘密，還包括積極意義上個人對自身數據的控制，其保護對象覆蓋所有直接或間接可以用以個人識別的數據信息。

對公民個人信息權如何保護，學界還難以達成一致共識，實踐中還處於較為混亂中。各種手機APP還在肆無忌憚的未經允許收集、製作和掌控個人信息，甚至將掌握的個人信息倒賣牟利。近年《刑法》修改新添加的“侵犯公民個人信息罪”就是對遏制這一犯罪行為的刑法措施，但懲治效果並不理想。

不管怎樣，一般説來，政府或政府授權的機構要獲取個人信息前，應該履行的程序性職責是——

向公民個人進行提示，表明根據需要將獲取公民個人信息；

徵求個人同意，個人不同意時不能獲取個人信息；

詳細列入要獲取個人信息的選項內容；

詳細説明所要獲取個人信息的用途。

如果國家基於人口普查、實現國家防衞、經濟、社會、交通警察任務的數據收集；為了法律爭點判斷進行的事實調查；對於公民健康危險的防衞、對抗暴動或是暴力行為、預防犯罪目的而收集的數據，在刑事訴訟程序中的事實調查、國家基於平等税捐目的而收集數據等公益事項，都可以在徵得個人同意後才能採集、提取、製作與掌控。

大數據、人工智能正在逐漸成為國與國之間競爭的領域。一方面，個體有免受個人數據被無限收集、儲存、使用和傳遞的權利；但另一方面，為了國家的競爭能力，適當犧牲個人的信息權利，也是國家、社會發展的需要。為了迫切的公共利益，個人在原則上必須接受對其信息權的某種限制，這種限制也當然會觸及其隱私信息。

另一方面，如果國家機關或授權的機構獲取信息的目的與行為本身有問題，個人信息在數據時代下就會失去應有的保護，這是個人信息權的一體兩面。

因此，對公民的個人信息的獲取、製作、儲存、使用與掌控，必須合乎下列要求：

一是合乎正當目的。即必須是國家需要與公共利益所需。例如，此次疫情爆發以來，各級政府就已經開始通過登記在冊、上門觀察、追蹤到人等全覆蓋式大排查來摸清人口底數、追蹤人員流動軌跡等。這些信息收集行為是以疫情防控為目的，符合國家緊急需要與公共利益需要的目的。

二是合乎安全原則。即公權力機關或授權機構基於需要蒐集和使用個人信息，需確保這些信息在儲存、使用和傳遞等全部環節的安全性，泄露個人信息需要承擔法律責任。

三是合乎程序規定。即相關機構在個人信息的獲取、製作、儲存、使用中，必須按照一定的程序規定進行，不合程序性規定的個人信息採集、製作、儲存、使用行為，即使合乎目的性，也是一種非法行為。

四是合乎披露規範。即個人信息的披露要規範，除非出於確實需要，否則個人信息不得披露；如必須披露，一般不能過於詳盡，以免對號入座給被披露人造成不必要人身麻煩。

在大數據時代下，我國既不能像西方國家那樣過於強調保護個人的信息權利而犧牲公共利益與國家競爭力，也不能放任個人信息權被徹底剝奪和排除。

這無疑是個人信息保護立法中必須考慮的核心要義，對此我們有理由對個人信息安全立法抱有極大期待。